POLÍTICA DE PRIVACIDADE H:DATA
1. QUEM SOMOS
A presente Política de Privacidade é aplicável à H:DATA, empresa qualificada abaixo:
H DATA SOLUÇÕES DIGITAIS LTDA., inscrita no CNPJ/ME sob o nº 43.668.385/0001-72, com sede na Rua Copaíba, Lote 01, Torre A, Sala 102, Águas Claras, Brasília/DF, CEP 71.919-540, representada na forma do seu Estatuto Social (“H:DATA”) e
A H:DATA é uma empresa do Grupo constituído pela EXIMIO HOSPITALAR SERVICOS E PARTICIPACOES S/A e a FALCONI CONSULTORES S.A., especializada em gestão da saúde, conectando tudo o que você precisa para alavancar sua inteligência de gestão, revelando oportunidades de crescimento com base em ciência de dados em uma plataforma segura e simples de usar. H:DATA, EXÍMIO e FALCONI, juntas referidas como “Grupo”, apresentam, nos termos seguintes, suas obrigações e diretrizes relacionadas à privacidade e proteção dos dados pessoais dos clientes, colaboradores, parceiros e fornecedores:
2. OBJETIVO
O Grupo é altamente engajado com questões de compliance e não poderia ser diferente no que tange ao tratamento de dados pessoais. A privacidade dos stakeholders, colaboradores, clientes e da sociedade de uma forma geral é uma das principais pautas de discussões internas desde a publicação da LGPD e a presente Política de Privacidade (“Política”) possui o intuito de consolidar todo este trabalho e esclarecer os principais pontos referentes ao tratamento de dados pessoais por parte do Grupo.
Sendo assim, esta Política possui o objetivo de apresentar as informações mais importantes acerca das operações de tratamento de dados pessoais realizadas pela Solução H:DATA, para que cumpramos com nosso dever de transparência e dirimir quaisquer dúvidas que possam existir referentes a este tema.
O titular dos dados (“titular”) tem o direito de saber informações sobre o tipo de tratamento ao qual o seu dado é submetido, a sua duração, as finalidades a que se destina, em quais casos são compartilhados ou mesmo se algum tipo de decisão automatizada é realizada sobre eles, desde que, claro, respeitados o direito do Grupo de não revelar nenhuma informação que configure segredo comercial ou industrial.
Completam e integram esta política os Termos e Condições de Uso da Solução H:DATA, bem como os Termos de Uso de Dados Pessoais, disponíveis no endereço: www.hdata.med.br.
3. TERMOS E DEFINIÇÕES
Para viabilizar um maior entendimento a termos que podem não estar tão claros assim, apresentamos um breve glossário acerca dos conceitos e definições de algumas palavras corriqueiras na Lei Geral de Proteção de Dados Pessoais, bem como de outras complementares ao bom entendimento do tema:
a) Dado Pessoal: Qualquer informação relacionada a uma pessoa natural identificada ou identificável. Em outras palavras, qualquer informação, independente de formato (físico ou eletrônico), que possa permitir a identificação de uma pessoa natural, ou que, identificada a pessoa, possa ser associada a ela, revelando característica a seu respeito.
b) Dado Pessoal Sensível: Qualquer dado pessoal que verse sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
d) Titular de Dados: É a pessoa natural a quem se referem os dados pessoais que são objetos de tratamento. Ou seja, você que lê esta Política e possui dados tratados pela H:DATA e/ou pelo Grupo é um titular de dados pessoais.
e) Controlador: É a pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais. É o controlador que detém o poder decisório sobre os dados tratados, incluindo a indicação de sua necessidade, finalidades, bases legais atribuídas, o período de retenção e a forma de descarte.
f) Operador: É a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. O operador apenas trata os dados conforme as determinações do controlador, desde que não violem dispositivos da LGPD ou de outras legislações, de modo que cabe a ele seguir estritamente os escopos de tratamento definidos pelo controlador e oferecer segurança aos dados tratados. Em grande parte das situações a solução H:DATA será operadora dos dados pessoais por ela tratados.
j) Tratamento: Basicamente toda operação realizada com dados pessoais é uma hipótese de tratamento. A LGPD especifica algumas (apesar de não ser um rol taxativo), como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
4. COMO E PARA QUE COLETAMOS DADOS PESSOAIS
As empresas do Grupo possuem foco na prestação de serviços de consultoria de gestão, mediante o uso do conceito de gestão da qualidade total e no desenvolvimento de softwares de gestão e monitoramento de performance, com foco de atuação no atendimento de outras empresas (modelo de negócio B2B) e, por isso, o tratamento de dados pessoais, em si, é necessário apenas para a entrega de algumas das soluções de gestão do Grupo, em especial da H:DATA, para os Clientes. Sendo assim, a coleta de seus dados pode se dar pelas seguintes fontes:
a) Através de compartilhamento pela empresa que o titular trabalha: na maioria das vezes os seus dados pessoais nos serão fornecidos pela empresa Cliente do Grupo, para que este possa desempenhar bem o serviço contratado. Neste caso, as empresas do Grupo são Operadoras de dados pessoais e adotam medidas para exigir o cumprimento das regras de privacidade e proteção de dados pelos Controladores. Além disso, o Grupo sempre zela para que sejam compartilhados apenas os dados pessoais estritamente necessários para a consecução da finalidade específica pretendida, que será o objeto do serviço contratado, e, de preferência, que sejam repassados em formato anonimizado.
b) Mediante o fornecimento dos dados pelo próprio titular: os dados podem ser fornecidos diretamente pelo próprio titular para o Grupo em duas situações distintas, quais sejam, através do consentimento expresso e inequívoco coletado previamente para finalidades específicas ou para executar um contrato ou procedimentos preliminares a um contrato do qual o titular seja parte e a seu pedido. Exemplos que se adequam a tais situações são, no primeiro caso, relativo ao consentimento, quando do preenchimento do formulário de contato nos sítios eletrônicos do Grupo, indicando que o titular consente que os dados sejam utilizados para fins de contato comercial, quando do preenchimento de cadastro para contratação dos produtos e soluções digitais do Grupo, e, no caso de interesse legítimo, do envio de currículo para participação em processos seletivos;
c) Coleta de cookies através de interação com os sites: através de seu acesso e interação com os sites de alguma das empresas do Grupo, é possível que coletemos dados pessoais como o seu número de internet protocol (IP), o navegador utilizado e a forma como a interação acontece com os sites para que a experiência possa ser personalizada, bem como para aprimorar as estratégias de marketing pela coleta de cookies;
d) Mediante o fornecimento pelos pais ou responsáveis legais: todos os dados de incapazes (total ou relativamente), bem como de crianças e adolescentes eventualmente coletados somente serão tratados pelo Grupo após o fornecimento do consentimento de seus pais ou responsáveis legais, autorizando o tratamento;
e) Dados tornados manifestamente públicos pelo titular: também podemos coletar dados pessoais tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios que dizem respeito a privacidade e proteção de dados.
A H:DATA tem por premissa atuar de maneira transparente, sendo que, durante o processo de abordagem da solução, nenhum dado pessoal é solicitado, usado ou armazenado sem a expressa concordância do Controlador, que se encarregará de que o tratamento esteja de acordo com a legislação local aplicável.
Caso essas informações não sejam suficientes e ainda tenha restado alguma dúvida ou curiosidade sobre qualquer pormenor do tratamento de seus dados pessoais, entre em contato com o nosso DPO no e-mail indicado ao final desta Política, lembrando sempre que nos reservamos no direito de não repassar nenhuma informação que possa violar nosso segredo comercial ou industrial.
5. POR QUE TRATAMOS DADOS PESSOAIS?
Todas as operações de tratamento de dados pessoais que o Grupo realiza possuem respaldo nas bases legais elencadas nos artigos 7º e/ou 11 da LGPD, reafirmando a licitude de todas as nossas operações.
Nesse sentido, quando alguma das empresas do Grupo figurar na posição de Controladora de dados pessoais, podemos tratar os seus dados de acordo com uma das hipóteses listadas abaixo:
a) Mediante coleta de seu consentimento expresso e inequívoco, ocasião em que o titular será informado previamente a respeito da finalidade e demais informações do tratamento, exceto para aqueles dados tornados manifestamente públicos pelo titular;
b) Para o cumprimento de obrigação legal ou regulatória por parte do Grupo, ou seja, nos casos em que algum ato normativo estabeleça a obrigatoriedade do tratamento, como por exemplo a legislação fiscal e/ou trabalhista;
c) Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual você seja parte e a seu pedido;
d) Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
e) Quando verificarmos que é necessário para atender aos nossos interesses legítimos ou de terceiros, que podem ser para apoio e promoção de nossas atividades ou para prestação de serviços que beneficiem o titular de dados, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção de seus dados pessoais.
Já nas situações mapeadas em que alguma das empresas do Grupo figurar na posição de Operadora de dados pessoais, as decisões sobre a finalidade e a forma como os dados pessoais devem ser tratados será definida pelo Controlador de seus dados. A grande maioria dessas situações ocorrerá quando o titular trabalhar em uma empresa Cliente do Grupo e que seja necessário o compartilhamento dos dados para a prestação do serviço contratado.
No entanto, já esclarecemos de antemão que, como a privacidade e a proteção de seus dados pessoais são prioridade número um em todas as empresas do Grupo, em comunicamos formalmente a todos os Controladores de dados pessoais dos quais somos Operadores que nos reservamos no direito de descumprir expressamente toda e qualquer orientação fornecida pelos controladores que sejam manifestamente ilegais e/ou contrárias a qualquer dispositivo da LGPD.
A H:DATA é uma solução baseada em dados negociais, necessitando apenas dos dados pessoais mínimos para o seu funcionamento correto. A H:DATA, através da análise algorítmica, extraída de informações legal e legitimamente acessadas nos bancos de dados dos Clientes, obtém determinados resultados para problemas específicos relacionados à gestão clínica estratégica do negócio do cliente. Para o funcionamento completo da solução são necessárias informações sobre o Usuário, sobre a empresa/cliente, médicos cadastrados no sistema do cliente, número de atendimento e de prontuário de pacientes, sem que, diretamente, possa se identificar a pessoa natural detentora das informações do prontuário e/ou atendimento.
Cabe reforçar que os dados pessoais (ordinários e sensíveis) tratados pela H:DATA (Operadora) são obtidos através do acesso dado pelo Cliente/Empresa Controlador(a) que, desde já, se responsabiliza pela legalidade da coleta dos dados pessoais disponíveis em seus bancos de dados, pela definição da finalidade específica para o referido tratamento e pela comunicação e solicitação do consentimento expresso, específico, destacado e inequívoco do titular de dados, quando necessário (em especial nos termos do art. 11 da Resolução CFM nº 1.931/2009 e art. 1º da Resolução CFM nº 1.605/2000).
Ainda assim, o Grupo entende importante ressaltar que, em caso de coleta como Controlador, os dados pessoais serão utilizados apenas para (i) Execução do Contrato e atividades relacionadas ao serviço contratado, bem como seu pagamento; (ii) Entendimento e priorização de ações do negócio; (iii) Entendimento do perfil do cliente, para identificação das melhores práticas a serem implementadas; (iv) Contato para fins de relacionamento comercial; (v) Envio de informações sobre produtos e serviços do Grupo, de forma remunerada ou gratuita; (vii) Utilização para contato em futuros eventos.
6. COMO COMPARTILHAMOS DADOS PESSOAIS COM PARCEIROS
Seus dados poderão ser compartilhados com terceiros apenas quando for:
a) Absolutamente necessário para que prestemos um serviço a você ou à empresa que você representa;
b) Importante para agregar segurança aos dados tratados e garantir a sua confidencialidade, integridade e disponibilidade, por exemplo, quando seus dados são armazenados em nuvem hospedada em servidor externo ao do Grupo;
c) Interessante ao desempenho de funções administrativas da nossa empresa, como a medição de desempenho de nossos colaboradores, pesquisa de satisfação de clientes e de clima organizacional dos funcionários, desenvolvimento dos nossos produtos e serviços e atendimento aos clientes, adotando, sempre que cabível, a anonimização dos dados em forma estatística;
d) Decorrente de ordem judicial, obrigação legal ou por força de autoridade administrativa competente para tanto;
Nas hipóteses acima, em que o compartilhamento decorre de opção do Grupo, informamos que possuímos documentados todos os contratos com nossos parceiros que são rigorosamente elaborados no que tange às questões de proteção de seus dados pessoais, estando todos de acordo e alinhados com as nossas exigências. Além disso, nossos critérios de segurança de informação são elevados e sempre atualizados, visando evitar qualquer tipo de defasagem que possa causar dano a você ou aos seus dados pessoais. Importante ressaltar que também exigimos tais níveis elevados de segurança de todos os nossos parceiros.
Destaca-se que o Grupo em nenhuma hipótese vende dados que identificam ou possam identificar pessoas naturais a terceiros.
7. TÉRMINO DO TRATAMENTO E RETENÇÃO DOS DADOS PESSOAIS
Os dados tratados são armazenados pelo prazo necessário ou permitido a depender do tratamento, conforme a base legal que o justifica. Sendo assim, é certo informar que seus dados serão excluídos, via de regra:
a) mediante verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
b) após o fim do período de tratamento informado;
c) mediante solicitação de exclusão por parte do titular, caso a modalidade de tratamento comporte este tipo de pedido;
d) por determinação da Autoridade Nacional (ANPD), quando houver violação ao disposto na LGPD.
Além disso, declaramos que alguns de nossos documentos, tanto físicos, quanto eletrônicos, são enviados à empresa especializada em guarda dos documentos e lá são arquivados de acordo com nossa Política de Retenção e Descarte, até a eliminação definitiva ou anonimização completa desses documentos.
No entanto, em alguns casos, os dados pessoais poderão ser mantidos mesmo após o término do tratamento para:
i) cumprimento de obrigação legal ou regulatória pelo Grupo;
ii) garantir a segurança jurídica na relação firmada com o titular ou com terceiros; ou
iii) transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na LGPD.
8. COMO MANTEMOS SEUS DADOS SEGUROS
Além de prezar pela sua privacidade, o Grupo também se preocupa com a segurança da informação que aqui transita.
No Grupo, os colaboradores responsáveis pelos ativos de informação que suportam os dados pessoais são signatários de um “Acordo de Confidencialidade” e possuem amplo conhecimento da Política de Segurança da informação, bem como do Código de Conduta e Ética.
No que tange ao armazenamento de informações, todos os dados pessoais tratados pelo Grupo podem estar localizados em três ambientes distintos, a depender do tipo e da sensibilidade da informação, que são:
a) um CPD (Centro de Processamento de Dados) com controle de acesso por meio de biometria;
b) um data center terceirizado alinhado com as melhores práticas de segurança previstas pela norma de segurança para hospedagem de sistemas de propriedade do Grupo; ou
c) em nuvens de alto padrão de segurança, com provedores de confiança e amplamente certificados nos frameworks internacionais do mais elevado padrão de rigor.
Além disso, os nossos fornecedores também adotam várias medidas para prevenir violações de privacidade, mas, caso venham a acontecer, são seguidos procedimentos eficazes de detecção, resposta e correção ao incidente de forma mais rápida possível, alinhados com o rigor do padrão de segurança Grupo.
Com essas e outras medidas, o Grupo visa mitigar ao máximo os riscos de incidentes de segurança que possam acometer aos dados por ele tratados e, mesmo na improvável hipótese de algo assim ocorrer, temos o compromisso de identificar, detectar, proteger e responder incidentes com máxima eficiência, informando, sempre que necessário, a sua ocorrência, caso possa representar risco à sua privacidade.
Contudo, ainda que utilizemos as melhores medidas de segurança existentes no mercado e estejamos em constante evolução e melhoria contínua nesse sentido, é importante esclarecer que não é possível garantir a total inviolabilidade dos dados por nós tratados (e isso se aplica às empresas do Grupo e a qualquer outra empresa). De toda forma, ainda que isso venha a acontecer, possuímos um plano de remediação para que o dano potencial seja o menor possível ou, de preferência, inexistente.
9. QUAIS SÃO OS DIREITOS DO TITULAR DOS DADOS
A Lei Geral de Proteção de Dados Pessoais apresenta, em seus artigos 9º, 18 e 20, os direitos do titular de dados pessoais que podem ser exercidos perante o Grupo mediante requisição direta ao nosso Encarregado de Proteção de Dados (DPO) no e-mail indicado ao final desta Política.
De acordo com o art. 9º da LGPD, você, titular tem direito ao acesso facilitado das seguintes informações sobre o tratamento de seus dados:
i) a finalidade do tratamento de seus dados;
ii) a sua forma e duração, desde que respeitados os nossos segredos comercial e industrial, ou seja, caso uma solicitação seja passível de violar nossos segredos comercial e industrial, nos reservamos no direito de não atender, conforme permitido pela LGPD;
iii) a identificação e as informações de contato do controlador dos dados;
iv) informações acerca de eventuais compartilhamentos dos dados tratados;
v) as responsabilidades dos agentes de tratamento envolvidos; e
vi) todos os seus direitos listados no art. 18 da LGPD, que são os seguintes:
a) Confirmação da existência de tratamento por alguma das empresas do Grupo;
b) Acesso aos dados pessoais tratados pelas empresas Grupo, uma vez confirmada a existência do tratamento;
c) Correção ou atualização dos dados tratados pelo Grupo;
d) Anonimização, bloqueio ou eliminação de dados tratados de maneira desnecessária, excessiva ou em desconformidade com a LGPD, desde que avaliado previamente por nosso Encarregado (DPO), bem como por nossa equipe de Privacidade;
e) Portabilidade dos seus dados a outro prestador de bens ou serviços, preservados os segredos industrial e comercial do Grupo;
f) Revogação do Consentimento e Eliminação dos Dados;
g) Informações sobre compartilhamentos de seus dados pessoais com entidades públicas ou privadas, observados os segredos comercial e industrial;
h) Possibilidade de não fornecer e consequências do não fornecimento do consentimento.
Além dos direitos listados acima, o titular também pode requerer a revisão de decisões automatizadas que forem tomadas sobre seus dados pessoais unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade. Para este fim, são consideradas “decisões automatizadas” aquelas tomadas por meio de processo que automatiza a filtragem de dados através de critérios pré-estabelecidos, geralmente por uso de algoritmos.
Se, por algum motivo, o Grupo não puder adotar imediata providência para atender às solicitações do titular, enviaremos uma resposta o quanto antes comunicando o motivo, que poderá ser um dos seguintes:
1. O Grupo não é agente de tratamento dos seus dados, hipótese em que indicaremos, caso tenhamos conhecimento, o agente correto; ou
2. Existe alguma razão de fato ou de direito que impede a adoção imediata da providência solicitada, a qual, caso possível, será informada na resposta.
Por fim, para que possamos atender às requisições feitas e para garantir a segurança dos seus dados, é possível que solicitemos algumas informações para ter certeza de sua identidade e confirmar a autenticidade da solicitação.
10. COMO EXERCER OS SEUS DIREITOS
Caso sua dúvida não tenha sido sanada ou caso deseje tratar de algum tema referente a privacidade e/ou proteção de dados pessoais, é possível acionar o nosso Encarregado pelo Tratamento de Dados Pessoais (DPO), Caio Amorim, a qualquer momento através do link abaixo ou do e-mail dpo@hdata.med.br.